Творець AI-фреймворку GSD вкрав крипту та зник, лишивши бекдор у терміналах

Анонімний розробник під ніком glittercowboy на GitHub раптово видалив усі свої акаунти та вивів ліквідність мем-коїна $GSD на базі блокчейну Solana. Проєкт Get Shit Done, який позиціонувався як операційна система для агентів Claude Code, залишився без нагляду, хоча мав безпосередній доступ до файлових систем тисяч користувачів.

Надавати автономному AI-агенту доступ до bash-команд — це приблизно як довірити трирічній дитині з бензопилою ремонт вашої кухні, але розробникам подобалося, бо це дозволяло автоматизувати рутину без нудних корпоративних мітингів. Фреймворк самостійно створював плани розробки, писав код і тестував його прямо в консолі.

Справжня паніка почалася тоді, коли спільнота згадала: зниклий крипто-скамер досі контролює оригінальні пакети в реєстрі npm. Одне шкідливе оновлення від ображеного розробника могло б миттєво злити всі приватні ключі, паролі від серверів та секрети CI/CD-пайплайнів у відкритий доступ.

Щоб врятувати ситуацію, розробники екстрено створили форк під назвою get-shit-done-redux, повністю вирізавши з коду будь-які згадки про блокчейн та запустивши масштабний аудит безпеки. Спільнота намагається довести, що писати код за допомогою AI можна й без ризику прокинутися з порожнім криптогаманцем і зламаним сервером.

Користувачам оригінального пакету наполегливо рекомендують терміново виконати видалення через npm uninstall, перевірити запущені процеси та почистити конфігураційні файли на кшталт .zshrc або .bashrc, де могли сховатися шкідливі скрипти.

Сліпа довіра до анонімних npm-пакетів заради красивої обіцянки повної автоматизації нарешті показала свій зворотний бік. Ера швидкого кодингу зіштовхнулася з суворою реальністю веб3-скаму, нагадуючи всім, що коли інструмент отримує занадто багато прав у вашій системі, зручність швидко перетворюється на катастрофу.

Джерело: Reddit